Kaspersky Global Transparency Initiative
「透明性」は、今日、私たちの誰もが信頼するデジタル世界の重要な要素になっています。
当社の透明性への取り組み(Global Transparency
Initiative:GTI)には、当社の製品、内部プロセス、事業運営における信頼性の検証と実証について、幅広いサイバーセキュリティコミュニティや関係者と連携するための実行可能で具体的な多くの施策が含まれています。
「透明性」は、今日、私たちの誰もが信頼するデジタル世界の重要な要素になっています。
当社の透明性への取り組み(Global Transparency
Initiative:GTI)には、当社の製品、内部プロセス、事業運営における信頼性の検証と実証について、幅広いサイバーセキュリティコミュニティや関係者と連携するための実行可能で具体的な多くの施策が含まれています。
Kasperskyは、透明性への取り組みの一つとして、多くの地域のデータの処理と保管をスイスに移転しました。また、最初のトランスペアレンシーセンターもスイスに開設しました。
トランスペアレンシーセンターは、信用できるパートナーが、当社製品のソースコード、ソフトウェアのアップデート、脅威検知ルール、そのほかの活動を確認できる施設です。このセンターを通じ、安全な環境で外部評価を受けるために不可欠な重要な技術文書を含む当社製品とそのセキュリティに関する情報を、パートナー企業や政府機関に提供しています。また、信頼できるステークホルダーが、当社のポートフォリオ、エンジニアリング、データ処理手法について詳細に知ることができるブリーフィングセンターの役割も持ち合わせています。
トランスペアレンシーセンターは、チューリッヒ、マドリード、クアラルンプール、サンパウロに設置しています。2021年には5つ目の、北米に特化したトランスペアレンシーセンターを、CyberNB Associationと共同で、カナダのニューブランズウィックに開設します。
トランスペアレンシーセンターでは、当社製品のソフトウェアをソースコードからコンパイルし、公開されているコードと比較することができます。
透明性への取り組みを、ここまで実施しているサイバーセキュリティ企業はほかにはありません。トランスペアレンシーセンターの開設により、当社の保護テクノロジー、インフラストラクチャ、データ処理手法の完全な透明化に向けて、大きな一歩を踏み出しています。
トランスペアレンシーセンターの利用や詳細については、 [email protected]にお問合せいただくか、こちらをご覧ください。
当社のお客様のセキュリティと保護は当社の最優先事項です。そのため、当社は最も厳格なアクセスポリシーを採用しており、セキュリティ侵害の可能性がある場合は依頼を拒否する権利を有しています。
トランスペアレンシーセンターは、次のような方々を歓迎します。
研究学術機関、メディア、情報セキュリティコミュニティの専門家を、将来的にトランスペアレンシーセンターに招待する可能性があります。
いかなる状況においても、サイバー攻撃の任務や能力を有する情報機関または法執行機関に、トランスペアレンシーセンターの利用を提供することはありません。トランスペアレンシーセンターのセキュリティ情報とインフラストラクチャは、相談目的でのみ提供しています。カスペルスキー製品のソースコード、ソフトウェアのアップデート、脅威検知ルールを変更する行為は禁止されており、トランスペアレンシー運営委員会によって阻止されます。また、不正使用は現地の法執行機関に報告されます。
4大会計事務所の1社が、「Service Organization Controls for Service Organizations(SOC 2)Type 1」に従い、当社ソリューションのセキュリティと処理の完全性について監査を実施しました。
最終報告書では、当社の脅威検知ルールのデータベース(定義データベース)の開発とリリースが、強力なセキュリティ統制によって不正な変更から保護されていることが確認されました。
詳しくはこちらをご覧ください。
情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001:2013認証の取得は、当社の強力なデータセキュリティへの取り組みとデータサービスが、業界のベストプラクティスに完全に準拠していることを示しています。
第三者認証機関であるTÜV AUSTRIAによって、Kaspersky Security
Network(KSN)を含む当社のデータセキュリティシステムが、業界のデータプライバシー基準を満たしていることが、確認されました。
詳しくはこちらをご覧ください。
当社の最新のデータ保護対策は、最高レベルの業界標準に従って実装されており、カスペルスキー製品やサービスで処理される情報に極めて高いレベルのセキュリティを提供しています。お客様のデータを保護するための手順の改善にも継続的に取り組んでいます。
ヨーロッパ、米国、カナダ、アジア太平洋地域*の複数の国でカスペルスキー製品のユーザーから同意を得て共有された、悪意あるファイルや疑わしいファイルは、チューリッヒにある2か所のデータセンターで処理、保管されます。これらのデータセンターは、業界標準に準拠した世界最高レベルの設備を備えており、高度なセキュリティを確保しています。
さらに、当社がKaspersky Security Network(KSN)インフラストラクチャを利用した悪意のあるファイルや疑わしいファイルの情報配信、および当社の分散ファイルシステム(KLDFS)にそれらのファイルを安全に保管、アクセスする際に、ISO/IEC 27001:2013規格に準拠した管理システムを使用していることを、第三者認証機関のTÜV AUSTRIAが認証しています。これには、スイスのチューリッヒ、ドイツのフランクフルト、カナダのトロント、ロシアのモスクワにある当社のデータセンターが含まれます。詳しくはこちらをご覧ください。
* 日本、オーストラリア、ニュージーランド、バングラデシュ、ブルネイ、カンボジア、インド、インドネシア、韓国、ラオス、マレーシア、ネパール、パキスタン、フィリピン、シンガポール、スリランカ、タイ、ベトナム。
このセクションでは、透明性への取り組みの一環である、スイスへの脅威に関するデータ移転やそのほかの活動に関する最新情報をお知らせします。定期的に更新情報と進捗レポートを掲載します。
最初のトランスペアレンシーセンターを開設、チューリッヒでヨーロッパのユーザーのデータ処理を開始、独立したエンジニアリング監査とバグ報奨金プログラムを新たに開始
2018年11月13日、ヨーロッパのカスペルスキー製品のユーザーから同意を得て共有された悪意あるファイルおよび疑わしいファイルの処理が、チューリッヒ(スイス)にある2か所のデータセンターにて開始されました。 これらのデータセンターは、最高レベルのセキュリティを保証する、業界標準に準拠した世界水準の施設です。ここで処理されるデータには、マルウェアの自動解析のためにカスペルスキー製品よりKaspersky Security Network(KSN)に送信された、疑わしいファイルまたは未知の悪意あるファイルのほか、これらに付随するメタデータが含まれます。
この取り組みは、製品の完全性と信頼性を保証するという当社の決意を反映しています。これと同時に、最初のトランスペアレンシーセンターを、同じくチューリッヒに開設しました。トランスペアレンシーセンターを通じ、政府機関やパートナー企業に対して、安全な環境での外部評価において不可欠かつ重要である技術文書など、当社製品とその安全性に関する情報を提供します。
このほか進行中の取り組みには、4大会計事務所の1社との契約があります。脅威検知ルールデータベースの作成と配布に関連する当社のエンジニアリング手法の監査、および業界最高レベルのセキュリティ対策に準拠していることの確認を、第三者機関より受けることを目的としています。
これに加え、積極的なバグ報奨金プログラムをサポートしています。1年の間に、セキュリティリサーチャーによって報告された50件以上のバグが解決され、そのうちのいくつかは特に価値あるものでした。
サプライチェーンの問題と「バルカニゼーション(分断化)」は、緊密につながった今日のグローバル環境のセキュリティにとって大きな課題です。それらを克服するために、世界はサイバーセキュリティにおける信頼と透明性を必要としています。当社は、企業が信頼を獲得し維持するために、製品や事業運営の透明性を高める必要があると考えています。新たな施策では、Kasperskyの「グローバルな透明性への取り組み」の総合的な枠組みの中で、目に見える具体的なステップを実践することで、それらの目標を達成するためのアプローチを実証します。
当社の最も重要なステークホルダーであるお客様からの信頼を獲得し、維持する当社の取り組みを再確認するものです。これには、実行可能で具体的な多数の施策が含まれます。その目的は、社外の独立したサイバーセキュリティの専門家などに、カスペルスキー製品、社内プロセスや事業運営の信頼性の検証および確認に参加いただき、当社があらゆるセキュリティ問題に迅速かつ徹底的に対処することを実証するための、追加の説明責任を果たす仕組みを導入することです。
透明性への取り組みの一環として、Kaspersky Security Network(KSN)でユーザーの同意を得て共有されたデータの処理と保管を、ロシアからスイスに移転しました。
また、信頼できるパートナー企業や政府関係者がカスペルスキー製品のソースコード、ソフトウェアのアップデート、脅威検知ルールを確認するための施設であるトランスペアレンシーセンターを世界各地に開設しました。これらは、当社のエンジニアリングとデータ処理手法について詳細に学習できるブリーフィングセンターとしても機能します。現在、チューリッヒ(スイス)、マドリード(スペイン)、クアラルンプール(マレーシア)、サンパウロ(ブラジル)に開設しています。2021年中に、カナダのニューブランズウィックにも開設する予定です。
この移転の目的は、データのセキュリティと完全性について高レベルの世界標準を維持しながら、データの処理と保管を中立的な地域に移転することで、お客様の懸念に対処する姿勢を示すことです。
このような活動は、お客様へのサービスにおけるカスペルスキーソリューションの完全性と信頼性を保証し、規制当局のあらゆる懸念に対処するという当社の絶え間ない取り組み姿勢も示しています。
各国のデータ処理の移転に関する決定は、市場の特性、顧客の要求、地域の規制に基づいています。ヨーロッパ、米国、カナダ、アジア太平洋地域の複数の国の顧客向けに、データの処理と保管をスイスに移転しました。
データ処理に関しては、スイスとロシアの間に違いはありません。どちらの地域でも、利用者のプライバシーを尊重し保護するという基本原則を遵守し、厳格なポリシーを適用して、ユーザーのデータを処理するための統一したアプローチを使用します。
信頼できるパートナーがレビューできるのは、 カスペルスキー製品のソースコード、ソフトウェアのアップデート、脅威検知ルールです。
トランスペアレンシーセンターの主な機能は次のとおりです。
- 安全なソフトウェア開発ドキュメントへのアクセス
- 公開されている製品のソースコードへのアクセス
-
脅威検知ルールのデータベースへのアクセス
- カスペルスキー製品のお客様データの受信と保管に使用する、クラウドサービスのソースコードへのアクセス
-
製品開発に使用されるソフトウェアツール(ビルドスクリプト)、脅威検知ルールのデータベース、クラウドサービスへのアクセス
当社では、カスペルスキー製品を独自に評価していただくために、政府機関と企業ユーザーに3つのオプションを用意しています。現在は移動や訪問が制限されている厳しい状況のため、お客様やパートナー企業はソースコードをリモートで確認することもできます。詳しくはこちらをご覧ください。
チューリッヒとマドリードのトランスペアレンシーセンターは、信頼できるパートナーや政府関係者が検査に利用できます。詳細については、アクセスポリシーをご覧ください。
SOC 2 Type 1レポートの目的は、サービス受託組織での内部統制の設計と実施について、その保証を必要とする既存または潜在的な顧客ニーズに対応するものです。レポートでは、サービス受託組織が顧客の情報を処理するために使用するシステムのセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに関連する統制について確認することができます。
今後もセキュリティコミュニティと協力して、透明性と説明責任を優先し、最新のソフトウェア製品のセキュリティを強化することで、お客様の信頼をさらに高めていきたいと考えています。当社は、複数のステークホルダーが協力して取り組むことで、テクノロジーに対する信頼と信用を高めることができるという信念を持っています。透明性の原則について詳細は、こちらをご覧ください。
当社は、世界中のサイバーセキュリティの利益を最優先として国、地域、INTERPOLのような国際的な法執行機関とも連携しています。サイバー犯罪捜査を支援するために、各国の法に則り、技術的な助言や専門的なマルウェア解析などを行なっています。また、当社の専門知識だけでなく、サイバー犯罪の調査中に判明したマルウェアに関する知見や技術的発見、技術的分析も公開しています。
全てのリクエストに対して必ず法的な検証を実施します。これは、ユーザーを保護してセキュリティとプライバシーを確保し、適用される法令と手続きを確実に遵守するための規定ルールです。リクエストで必要になるのは以下のとおりです。
- 法的な正当性がある
- 適用される法律および法手続きに従って発行されている
- 上記の原則に則っている
-
技術的に実行可能である
- その実施により当社のユーザーのセキュリティまたはプライバシー、カスペルスキー製品やサービスの完全性が影響を受けない
リクエストが上記の5つの基準を満たしていない場合、当社はリクエストの拒否、リクエストに対する申し立て、あるいは追加説明を求めます。法により許可されている場合は、データ要求の対象となったユーザーに事前に通知します。すべてのリクエストはログに記録され、それらに関する情報はこちらに公開されます。